26 Авг Советы профессионала: Когда взламывают не компьютер, а вас

Что такое социальная инженерия?
Социальная инженерия — это взлом не техники, а человека. Пароли не подбираются — их вытягивают. Доступ к информации происходит через доверие. Примеры, кейсы и реальные ситуации — в этом материале.

 Как это выглядит на практике
Фото авиабилета в соцсетях — и злоумышленник знает ваши паспортные данные.
Имя вашей кошки — ответ на контрольный вопрос.
Копия вашего профиля — и сотрудники получают фальшивые запросы.
Пример: региональный директор выложил фото пропуска, через 3 дня бухгалтер перевёл 3000 руб. по фальшивому поручению.

Почему это работает?

Злоумышленнику достаточно наблюдать, слушать и фиксировать детали. Это называется OSINT — открытая разведка.
Он изучает:

номер телефона
соцсети
корпоративные упоминания
фото
список друзей
место работы

Пример: звонок от «техподдержки» с просьбой обновить модуль ПО — и вы запускаете удалённый доступ.

Что может сделать злоумышленник?

Запросить перевод денег
Получить доступ к клиентским базам
Скачивать документы
Отправлять фальшивые письма
Блокировать систему

Пример: сотрудник передал логин «администратору» — база клиентов оказалась на стороннем ресурсе.

 Как защититься?

Социальная инженерия — это про людей. И защита тоже.

1. Подозрительный звонок? Сначала думай.
2. Проверяй через два канала.
3. Обучай команду.
4. Ограничивай доступ.
5. Симулируй атаки.
6. Следи за активностью.

Чем меньше мы делимся — тем лучше защищены

Настройте права доступа
Удалите лишний публичный контент
Используйте корпоративный мессенджер
Работайте в Bitrix24: биометрия, двухфакторная аутентификация, защита сессий, журнал вторжений

Материал подготовлен по информации от компании Bitrix24